깃허브, 무료 고급 보안 스캐닝 기능으로 개발자 민감 정보 보호 강화
깃허브, 무료 고급 보안 스캐닝 기능으로 개발자 민감 정보 보호 강화
깃허브가 개발자의 민감 정보 유출을 막기 위해 새로운 고급 스캔 기능을 무료로 제공한다.
www.cio.com
- 민감 정보 유출 현황 및 배경
- 2024년 한 해 동안 깃허브에서 3,900만 건 이상의 민감 정보 유출 발생
- API 키, 인증 토큰 등 다양한 자격증명이 실수나 인식 부족으로 코드에 노출
- 기존 자동 유출 차단 기능에도 불구하고 개발자의 보안 인식 부족이 지속적인 위협 요인
- GHAS 기능 업데이트 및 무상 제공
- GitHub Advanced Security(GHAS) 3.18 업데이트로 민감 정보 스캔 기능 무상 제공
- 시점 기반 스캔(Point-in-time scan)을 통해 조직 내 저장소 전체의 민감 정보 노출 여부 확인 가능
- 공개, 비공개, 내부 저장소 포함 모든 저장소 대상으로 정적 스캔 수행
- CSV 포맷으로 결과 다운로드 가능하며 자동 갱신은 비활성화 상태
- 보안 상품 분리 및 접근성 향상
- GHAS 기능을 시크릿 보호(Secret Protection)와 코드 보안(Code Security)으로 분리해 별도 상품으로 운영
- 기존에는 전체 보안 기능 패키지를 구매해야 했으나, 이제는 필요 기능만 선택 구독 가능
- 중소 규모 개발팀도 효율적인 비용 구조로 보안 역량 확보 가능
- 기능 적용 대상 확대
- 기존에는 엔터프라이즈 요금제 사용자만 GHAS 사용 가능
- 2025년 4월부터 GitHub Team 요금제 사용자도 GHAS 기능 사용 가능
- 푸시 보호(Push Protection) 기능도 팀 구독자 대상 확대 적용
- 민감 정보가 포함된 커밋을 사전 차단하고 예외 처리를 통해 유연한 정책 운영 가능
- 결론
- 오픈소스 및 협업 플랫폼 상에서의 민감 정보 유출 리스크는 여전히 심각
- 깃허브는 조직 규모와 무관하게 보안 기능 접근성 확대를 통해 개발자 보안 역량 강화 유도
- 코드 작성 초기 단계에서 민감 정보 탐지 및 차단이 가능한 도구 도입이 필수
- 기업과 개발자는 보안 자동화 도구 및 정책 수립을 통해 공급망 위협에 대응해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 딥시크 사태가 촉발한 AI 보안 위협과 국가 차원의 대응 필요성 (0) | 2025.05.13 |
|---|---|
| 51초 만에 내부 시스템 장악…초 단위 대응 요구하는 사이버 공격 진화 (0) | 2025.05.13 |
| 파이썬 오픈소스 생태계를 노린 공급망 공격과 신용카드 탈취 정황 (0) | 2025.05.13 |
| 큐싱(Quishing) 공격의 진화와 산업별 위협 분석 (1) | 2025.05.13 |
| 키움증권 전산장애 사태와 금융감독원 대응 분석 (0) | 2025.05.13 |